微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 微点软件使用交流 » =====杀毒软件、HIPS与微点 沙盘 分析几者区别=====  

 20  1/2  1  2  > 
作者:
标题: =====杀毒软件、HIPS与微点 沙盘 分析几者区别=====
御剑临风
禁止发言

威武大将军



积分 2135
发帖 2192
注册 2008-8-22
#1  =====杀毒软件、HIPS与微点 沙盘 分析几者区别=====

这里首先说一下,之所以把微点单独拿出来比较,是因为它既不同于传统杀软,又不同于通常意义的HIPS,从我个人的理解,微点不具备杀毒引擎,所以是绝对不能归类为杀软的,它更倾向与HIPS,不过更为智能化。今天作这个比较,是想让大家清晰认识三者的区别和各自的优劣
一、总论
1、杀毒软件
纯个人理解,杀软需具备三大要素:
病毒特征库、杀毒引擎、监控
通过扫描,将系统中文件的特征码与其病毒特征库的特征码进行比对,如果特征码相符,则被判定为病毒,并通过杀毒引擎清除或删除。监控也是同样道理。
总之,杀软是基于病毒特征库的。
2、HIPS
HIPS也需要具备三大要素:(为了便于说明,后面对HIPS的规则处理假定为询问)
规则、监控、拦截
若某个程序在运行过程中,触发了HIPS设定的某个规则,则HIPS会予以询问,并提示用户操作,而不论这个程序是否有害。即使正常的程序,也有可能被询问。
3、微点
微点的特征非常明显:
行为库、监控、拦截,外加一个包过滤墙
所谓行为库,是由程序的连串行为构成,病毒通常具有类似的连串行为,比如释放驱动、改写注册表、释放系统文件、自启动等等,微点便是以这样的方式来判断病毒和木马的,所以某些单一的行为或者未知的行为,不论有害还是无害,只要不触发微点的行为库,便会被放行。

二、举例说明
仅仅说理论,可能大家听不懂也很枯燥,这里就举个例子说明
假设一个潜逃的杀人犯,我们的三大是如何抓住他的
1、杀软
通过识别犯人的相貌、身高、体重等特征,以判断他不是要找的犯人。如果犯人乔装打扮,且易容手法高超,完全改变了原来的外在特征,则杀软很有可能抓不住他(这就是所谓的加壳、免杀)。如果犯人继续作案,那么杀软会重新搜集犯人的特征,重新辨认(也就是更新病毒库)。垃圾杀软会将其当做一个新犯人,优秀杀软却可以识别犯人的基因特征,除非犯人改变基因(这就是所谓的脱壳,真正脱壳能力强的没几个,蜘蛛可是算是最优秀的,脱壳依赖的是引擎)。
2、HIPS
如果犯人就此改过自新,不再犯案,那么HIPS将会就此放过它。如果某一天,犯人继续有了作案的动机,假设他是拿枪去杀人,首先,犯人伸手去衣兜里(不管是不是去掏枪),HIPS会提示,是否阻止它?如果你放行,犯人会进行下一个动作,把枪拿出来,HIPS继续报警,是否阻止。如果放行,犯人接下来会瞄准目标,HIPS继续询问。再放行,犯人开枪杀死目标,系统崩溃,HIPS就此下课。
(还有一类特殊的HIPS,就是沙盘,比较有名的就是defensewall,就是它会虚拟一个环境,让犯人在虚拟的环境中杀人,事实上,犯人并没有真正杀死目标,一切都是南柯一梦。犯人的所有行为在虚拟环境中完成,不对真是系统构成威胁)
3、微点
如果犯人就此改过自新,不再犯案,那么微点也会就此放过它,这和HIPS相同。但接下来的就不同了。犯人进行第一个动作,伸手去衣兜里,微点不予理会,因为这一动作本身无害,也许犯人不是掏枪,只是掏钱而已。如果接下来,犯人掏出的不是凶器,微点无视,如果犯人掏出的是枪,微点会在此时报警,这两个动作加在一起才形成了威胁,只有在这种情况下,微点才会询问。如果犯人掏出的是一种微点从未见过,且不知道否会构成威胁的东西,微点仍然放行,然后目标人物被干掉

三、优劣比较
1、杀软
他的优缺点很明显,事前防御和事后补救俱全。事前防御是依靠病毒特征码,一切他所不知道的病毒或者因为加壳改变了代码的病毒,均不会被识别。但一旦收集到新的特征码,杀软仍可依靠强大的扫描能力进行查杀。
2、HIPS
事前防御滴水不漏,但事事要求用户决定是否放行,如果用户基础知识不足,错误放行,那么病毒将会侵入系统,HIPS没有查杀能力,也许可以继续拦截病毒的行为,但不能杀灭病毒本身,更不能修复被感染的文件
3、微点
事前防御根据病毒行为库判定,并不会对所有单一行为报警,只有当连串行为构成危险并触发其行为库事,微点才会报警。但如果某程序的连串行为不在微点的行为库之内,即微点无法识别这种行为是否有害事,系统被会病毒侵入,微点同样不具备查杀的能力,最多只能拦截病毒的部分行为,而无法杀灭。

四、继续举例
假设手动更改 .TXT的文件关联,使其关联到写字板程序
微点不会报警,因为这一单一行为不会对系统造成威胁
而EQ、中网S3等典型的HIPS,如果对这一文件关联设定了规则,则他们会提示这一修改,询问你是否放行。如果设定的规则是禁止的,则他们会直接禁止,使你无法改动文件关联。相对而言,EQ、中网的防御更为严密,但对使用者的要求更高,你需要自行判断某一程序的行为是否有害。
微点同样有规则,它的规则是以行为库(由程序的连串行为构成,病毒通常具有类似的连串行为,比如释放驱动、改写注册表、释放系统文件、自启动等等,微点便是以这样的方式来判断病毒和木马的)的形式体现,某个行为,无论是单一还是连串,无论有害还是无害,如果不在微点行为库的范围内,则不会被拦截。

五、总结
微点对某些广告和流氓的拦截不是很好,对IE插件的加载也很少报警,因为这些广告程序和插件,并不具备明显的病毒连串行为,这些程序通常只是改写一下注册表劫持浏览器,甚至不会自启动。
微点仍是建立在对已知行为的判断的基础上,对未知的病毒行为仍然毫无办法。只不过病毒行为通常是类似的,通过很少的行为库就能起到很好的防御作用。从这个意义上说,微点仍是被动而不是主动。
而中网和EQ,如果你对系统注册表关键位置进行了一些规则设定(EQ和中网内置的注册表防护规则非常全面),这些广告和流氓想劫持浏览器就成了不可能的事
杀软则不是通过程序的行为来判断,而是通过程序的特征码
最后一句话:
杀软通过程序本身的代码特征来判定是否有害
HIPS通过程序的单一行为来判定是否有害
微点通过程序的连串行为来判定是否有害
另外一个特殊的沙盘,基本不作判定,任由程序在虚拟环境中运行,使其无法破坏系统

[ Last edited by 御剑临风 on 2009-1-7 at 14:33 ]

※ ※ ※ 本文纯属【御剑临风】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-1-7 14:30
查看资料  发短消息   编辑帖子
jaber
版主

使用与技巧区版主


积分 2861
发帖 2835
注册 2006-6-6
#2  

请去除乱码,否则删帖!

※ ※ ※ 本文纯属【jaber】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

XP2(原版未打补丁)
单独微点预升级

2009-1-7 14:32
查看资料  发送邮件  发短消息   编辑帖子
snhao
银牌会员




积分 1791
发帖 1782
注册 2007-6-12
#3  

希望微点不断完善行为库。

※ ※ ※ 本文纯属【snhao】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-1-7 15:21
查看资料  发短消息   编辑帖子
wusoodl
新手上路





积分 33
发帖 45
注册 2009-1-9
#4  

学习了

※ ※ ※ 本文纯属【wusoodl】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-1-9 09:44
查看资料  发送邮件  发短消息   编辑帖子
燕赵之士
高级用户




积分 658
发帖 658
注册 2008-11-27
#5  

说的很形象

※ ※ ※ 本文纯属【燕赵之士】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

人到无求品自高
2009-1-9 10:48
查看资料  发送邮件  发短消息  QQ   编辑帖子
mumaniu
高级用户





积分 664
发帖 658
注册 2008-12-6
#6  

至少现在对付未知病毒和新病毒没有比微点更好的杀毒软件了,微点越完善对使用者越有利而已

※ ※ ※ 本文纯属【mumaniu】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-1-9 12:30
查看资料  发送邮件  发短消息   编辑帖子
御剑临风
禁止发言

威武大将军



积分 2135
发帖 2192
注册 2008-8-22
#7  

让朋友们好好看看就知道区别了

※ ※ ※ 本文纯属【御剑临风】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-1-10 20:25
查看资料  发短消息   编辑帖子
五型输入法
新手上路





积分 8
发帖 8
注册 2008-12-31
#8  

除了广告和流氓软件、IE插件等外,请楼主举例说明某些病毒的行为特征不在微点的行为特征库中的。
注意,请举实例,并说明病毒的行为是如何绕过行为特征库的?

※ ※ ※ 本文纯属【五型输入法】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-1-10 22:45
查看资料  发送邮件  发短消息   编辑帖子
御剑临风
禁止发言

威武大将军



积分 2135
发帖 2192
注册 2008-8-22
#9  



  Quote:
Originally posted by 五型输入法 at 2009-1-10 22:45:
除了广告和流氓软件、IE插件等外,请楼主举例说明某些病毒的行为特征不在微点的行为特征库中的。
注意,请举实例,并说明病毒的行为是如何绕过行为特征库的?

怎么说你呢!说你小白吧 有点不尊重人了

你见过那个杀毒软件查杀流氓软件了?

你又知道什么叫流氓软件吗?所谓的流氓软件一般都是正规公司编写的程序

他不是病毒 当然也不是什么好东西

他是属于病毒和正规软件之间的灰色地带  目前还没有相关法律制约



你贸贸然的把他们杀了  人家不起诉你就怪了

利用微点主动防御软件分析和清除恶意软件和插件http://service.micropoint.com.cn ... 20071112171512.html


还说什么请举实例 搞的你像个专家似的  最讨厌这样的人了

你这么本事 搞一个出来吧  大家拭目以待 共同期待

[ Last edited by 御剑临风 on 2009-1-10 at 23:39 ]

※ ※ ※ 本文纯属【御剑临风】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-1-10 23:38
查看资料  发短消息   编辑帖子
不能注册
注册用户





积分 60
发帖 60
注册 2008-12-19
#10  

感觉混微点论坛的人有点盲目崇拜XX,很多人搞不清微点和hips的关系啊,不管微点加入了病毒库,还是行为库,微点主动的基础和hips一样,相当于一个娘(监控api等底层的东西)生了2个孩子,一个需要喂饭吃(hips),一个会自己吃饭(微点),再大的不同都是一个根,非说不同就是微点多了病毒库,还有行为库(相当于hips的规则是微点专家做的),微点现在不是还没有出病毒扫描吗!


“2、HIPS
HIPS也需要具备三大要素:(为了便于说明,后面对HIPS的规则处理假定为询问)
规则、监控、拦截
若某个程序在运行过程中,触发了HIPS设定的某个规则,则HIPS会予以询问,并提示用户操作,而不论这个程序是否有害。即使正常的程序,也有可能被询问。
3、微点
微点的特征非常明显:
行为库、监控、拦截,外加一个包过滤墙


微点行为库应该是微点专家设定的hips规则库,2者没有明确意义上的区别,如果hips设定好的专家的规则,也可以在他举枪的时候才第一次报警,或者直接在举枪时干掉他,(为了便于说明,后面对HIPS的规则处理假定为询问---也就是微点没提供询问的功能啊)没必要非得误导大家hips是动作监控器,如想你说的那么麻烦还要规则做啥?hips也有静的可怕规则


“2、HIPS
如果犯人就此改过自新,不再犯案,那么HIPS将会就此放过它。如果某一天,犯人继续有了作案的动机,假设他是拿枪去杀人,首先,犯人伸手去衣兜里(不管是不是去掏枪),HIPS会提示,是否阻止它?如果你放行,犯人会进行下一个动作,把枪拿出来,HIPS继续报警,是否阻止。如果放行,犯人接下来会瞄准目标,HIPS继续询问。再放行,犯人开枪杀死目标,系统崩溃,HIPS就此下课。
(还有一类特殊的HIPS,就是沙盘,比较有名的就是defensewall,就是它会虚拟一个环境,让犯人在虚拟的环境中杀人,事实上,犯人并没有真正杀死目标,一切都是南柯一梦。犯人的所有行为在虚拟环境中完成,不对真是系统构成威胁)
3、微点
如果犯人就此改过自新,不再犯案,那么微点也会就此放过它,这和HIPS相同。但接下来的就不同了。犯人进行第一个动作,伸手去衣兜里,微点不予理会,因为这一动作本身无害,也许犯人不是掏枪,只是掏钱而已。如果接下来,犯人掏出的不是凶器,微点无视,如果犯人掏出的是枪,微点会在此时报警,这两个动作加在一起才形成了威胁,只有在这种情况下,微点才会询问。如果犯人掏出的是一种微点从未见过,且不知道否会构成威胁的东西,微点仍然放行,然后目标人物被干掉”


“但接下来的就不同了。”是不同了,因为你设定HIPS的规则为询问了,而微点根据规则自动了。。。



“有时候, 我觉得微点其实跟hips也没有本质区别, 就是事先编制了规则, 作了优化,
搞了个规则库,自动化检索---也就是所谓的“专家系统”, 再加上特征码技术。
微点应该很有前途的。 虽然有些东西可能会漏网,也会有误报(或者报警提示很含糊不清) 但是很智能, 也足够安全了。
”这个是卡饭贴下的沙发

[ Last edited by 不能注册 on 2009-1-11 at 09:59 ]

※ ※ ※ 本文纯属【不能注册】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-1-11 09:24
查看资料  发送邮件  发短消息   编辑帖子
 20  1/2  1  2  > 



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号